Rätten att göra invändning mot behandlingen av uppgifter
Den registrerade har i vissa situationer rätt att göra en invändning mot behandlingen av egna personuppgifter, det vill säga begära att de inte alls behandlas.
När uppgifter behandlas för att sköta en uppgift som gäller ett allmänt intresse, utöva offentliga makt som ankommer på den personuppgiftsansvarige eller för att tillgodose berättigade intressen hos den personuppgiftsansvarige eller en tredje part, kan den registrerade göra en invändning mot behandlingen utifrån grund som anknyter till en specifik personlig situation.
I så fall ska behandlingen av uppgifter avslutas, förutom om
- den personuppgiftsansvarige kan visa att det finns en avsevärt viktig och motiverad orsak för behandlingen, vilken väger tyngre är den registrerades intressen, rättigheter och friheter, eller
- behandlingen är nödvändig för att uppgöra, framställa, försvara eller avgöra rättsliga anspråk.
När uppgifter behandlas för direktmarknadsföring, kan den registrerade göra en invändning mot behandling utan separat motivering. Efter invändningen får inte uppgifter längre behandlas för direktmarknadsföringssyften.
När uppgifter behandlas för vetenskapliga eller historiska forskningssyften eller statistiska syften, kan den registrerade göra en invändning mot behandlingen utifrån en grund som anknyter till den personliga situationen. I så fall ska behandlingen av uppgifter avslutas. Rätt att göra en invändning föreligger dock inte om behandlingen är nödvändig för att sköta en uppgift som gäller ett allmänt intresse.
Den registrerade ska tydligt underrättas om rätten att göra invändning. Uppgiften ska presenteras åtskild från den övriga informationen.
I fråga om informationssamhällstjänster ska en registrerad kunna utöva sin rätt till invändning automatiskt genom att dra nytta av de tekniska egenskaperna.
Hur snabbt ska den personuppgiftsansvarige reagera på en begäran av en registrerad?
Rätten att göra invändning ska utövas utan dröjsmål.
Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran. Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om dennes möjlighet att framföra klagomål till tillsynsmyndigheten och använda andra rättsmedel.
Är det möjligt att ta ut en avgift av den registrerade?
I princip är det avgiftsfritt att utöva en rättighet.
Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.
Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.
Är det möjligt att vägra att tillmötesgå en begäran?
Om rätt att göra en invändning utövas för behandling som görs för direktmarknadsföring, är det inte rätt att vägra att tillgodose rättigheten. Den personuppgiftsansvarige har inte utrymme för prövning vad gäller tillmötesgående av begäran, eftersom den inte nödvändigt att motivera en invändning. Om rätten trots en begäran inte tillgodoses, kan den registrerade överföra ärendet för behandling av dataombudsmannen.
I övriga ovan beskrivna situationer bedömer den personuppgiftsansvarige om rätten kan tillgodoses. Om den personuppgiftsansvarige anser att förutsättningarna inte är uppfyllda, kan denne vägra att tillmötesgå begäran. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.
Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Den personuppgiftsansvarige ska visa att begäran är omotiverad eller orimlig.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till dataombudsmannen och använda andra rättsmedel.
När personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller för statistikföring får undantag på vissa villkor göras från den registrerades rätt till tillgång till uppgifter.
Mer information om undantag från den registrerades rättigheter
Styrkande av den registrerades identitet
Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.
Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Ofta finns det redan lämpliga förfaranden. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.
Om den personuppgiftsansvarige begär närmare uppgifter för att styrka identiteten, får detta inte leda till orimliga krav eller insamling av personuppgifter som inte är väsentliga eller nödvändiga.
Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.
Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan styrka den registrerades identitet.
Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att
- få tillgång till uppgifter
- rätta uppgifter
- radera uppgifter
- begränsa behandlingen av uppgifter
- flytta uppgifter mellan system.
Den registrerade kan dock överlämna närmare uppgifter för identifieringen.
När behöver inte identiteten styrkas?
Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.
Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.
Läs mer:
Dataskyddsförordningen: artiklarna 12 och 21 (i EUR-Lex)